Questione : Di nuovo al risultato posteriore di ISA/TMG 2010's nell'edizione di percorso di rete

Problema: Non posso collegarmi dalla lan al DMZ, con due ISA/TMG servers.

I hanno nel fratempo una rete di DMZ & di lan con una rete di perimetro. Un assistente 2010 di TMG sta proteggendo ciascuno, come questo: LAN di > " della rientranza " del class= del

|tmg2010-A|<-- RETE DI PERIMETRO -->|tmg2010-B|<-- DMZ1

I che mette a fuoco su RemoteDesktop (RDP) per ora, comunque il problema si trova con tutto il traffico che che non proxied dal class= " la pallottola " >
I di tmg2010-A.

I può RDP dalla RETE di PERIMETRO al class= " la pallottola " >
I di DMZ
I NON PUÒ, RDP dalla lan a DMZ1. Quando tento questo, tmg2010-A, genera l'errore che indica che non può trovare la rete di DMZ. (Immagine allegata riferimento: nome di schedario " " vuoto " >

tmg2010-Aerror.jpg " fileSize " > (54 Kb) il Javascript " del href= " " dei attachmentDetails del class= di (tipo di lima particolari) larghezza dello style= del >
Errors: 550px; altezza: 383px; il alt= " di http://filedb.experts-exchange.com/incoming/2010/07_w27/t322785/tmg2010-Aerror.jpg "„ dello src= il class= " " vuoto " la l " il class= " la r " >


I del >
bbg " del class= del >
route-print.jpg " fileSize " > (84 Kb) il Javascript " del href= " " dei attachmentDetails del class= di (tipo di lima particolari) itinerario di rete >Active " di descrizione " del class= di


I del >

As una nota laterale. Ho configurato una regola su tmg2010-A, consentendo la mia stazione di lavoro sulla lan, accesso diretto all'estero senza restrizione. il

Per l'errore allegato del ceppo, questo sembra chiaramente essere un errore di percorso e non un errore di regola di accesso della parete refrattaria, asse, il primo colpo ha entrato il colpo di schermo, indica che la regola configurata che consente tutto il diretto all'estero sta innescanda e un collegamento sta iniziando correttamente ai pensieri di DMZ1 network.

Any su questo?
class= del

Risposta : Di nuovo al risultato posteriore di ISA/TMG 2010's nell'edizione di percorso di rete

Ho trovato la mia risposta. In breve, non è una configurazione di sostegno su ISA/TMG. Poiché il traffico sta venendo da una rete, a cui l'assistente a distanza di ISA/TMG non è direttamente ha attaccato, lo cade esso come spoofed. Così l'unico senso dirigere da una rete allegata ad un ISA/TMG ad un altro una rete allegata ad un assistente differente di ISA/TMG, (anche se una rete simi-fidata di di perimetro, using gli spazi riservati del IP), è di trattare la rete a distanza come External non definendolo nelle reti di ISA/TMG.

Ciò che segue è un brano da Microsoft TechNet, descrivente le regole per le reti di configurazione:
(http://technet.microsoft.com/en-us/library/cc995185.aspx)

“Ogni rete che generate deve avere un adattatore di rete dedicata connesso con esso. Per esempio, per generare una topologia che comprende la rete corporativa interna, il Internet e una rete di perimetro, tre adattatori di rete devono essere installati e permessi a sul calcolatore di prima linea TMG. Ci sono alcune eccezioni. In una configurazione retro a retro della parete refrattaria, dove il Internet è dietro una rete di perimetro, non ci è adattatore connesso con la rete esterna. In più, un oggetto di rete del luogo--luogo di VPN non ha un adattatore connesso con esso.

Tutti i IP address che possono essere raggiunti direttamente da un adattatore di rete devono essere definiti come componente della rete di prima linea TMG che è associata con l'adattatore. Tutte le sottoreti a distanza devono aggiungersi correttamente alla definizione di rete e la gamma di IP address della rete deve abbinare la tabella di percorso. Gli itinerari dovrebbero essere definiti nella tabella di percorso per ogni sottorete a distanza. “

“Un pacchetto è considerato spoofed (e quindi caduto) se uno di quanto segue è allineare:

Il pacchetto contiene un IP address di fonte che (secondo la tabella di percorso) non è raggiungibile tramite un adattatore di rete connesso con la rete.

Il pacchetto contiene un IP address di fonte che non appartiene alla gamma di indirizzo di una rete connessa con l'adattatore. “


Per niente sono eccitato, ma osserva come quella è la mia risposta.
Altre soluzioni  
 
programming4us programming4us